Une faille de sécurité qui est transversale à la plupart des navigateurs web du marché. Voilà le problème qui s’est imposé aux principaux éditeurs cette semaine, avec une vulnérabilité type « zero day » — c’est-à-dire une brèche qui n’était pas connue publiquement ou qui ne disposait pas d’un correctif pour la colmater. Et, pire encore, il s’agissait d’une faille exploitée par des pirates.
L’incident, toutefois, est en passe d’être contenu, pourvu que les internautes fassent une mise à jour de leur navigateur dès que possible. Dans certains cas, il n’y a rien à faire : certains navigateurs téléchargent automatiquement les patchs de sécurité en arrière-plan, et les installent lors d’un redémarrage du logiciel. Mais il est judicieux de s’en assurer.
Une alerte liée à WebP, un format d’image très présent sur le net
Le problème en question concerne la bibliothèque WebP que les navigateurs se servent pour gérer les images WebP que l’on croise sur le web. La brèche, que l’on identifie par le code CVE-2023-4863, peut entraîner un plantage du navigateur, ou bien l’exécution à distance d’un code malveillant, rapportait Bleeping Computer en début de semaine.
Le format d’image WebP a été conçu initialement par l’entreprise américaine On2 Technologies, rachetée en 2010 par Google. L’objectif de WebP est d’être plus léger que d’autres formats très répandus, à l’image du JPEG ou du PNG, afin « d’accélérer » le web. Le raisonnement est le suivant : si l’image est moins lourde, elle s’affiche plus vite sur l’écran de l’internaute.
On croise de plus en plus ce format sur le net et ce n’est pas un hasard : Google pousse en sa faveur. L’entreprise s’en sert par exemple pour les miniatures des vidéos sur YouTube, ce qui représente des millions de photos et des milliards de requêtes d’affichage. Cela prend moins de place et cela sollicite moins de bande passante. Et pour YouTube, c’est important.
Les correctifs de sécurité sont là
Signe de l’ampleur du problème, Google a poussé un patch pour Chrome, tout comme Mozilla pour Firefox. « L’ouverture d’une image WebP malveillante peut entraîner un débordement de la mémoire tampon dans le processus de contenu. Nous savons que ce problème est exploité dans d’autres produits », indique ce dernier dans sa notice de sécurité.
Pour être tranquille, vous devez utiliser la version 116.0.5845.187/.188 de Chrome sur Windows ou la version 116.0.5845.187 de Chrome sur Mac et Linux. Du côté de Firefox, votre version doit être à 117.0.1 (ESR 102.15.1 ou ESR 102.15.1 pour les éditions spéciales de Firefox). Du côté de Mozilla, la messagerie Thunderbird est aussi touchée. Les versions 102.15.1 et 115.2.2 sont sûres.
Par rebond, les autres navigateurs web établis sur Chromium — qui est le socle sur lequel est bâti Chrome — sont aussi touchés par la brèche CVE-2023-4863. C’est le cas de Microsoft Edge, Brave, Opera ou encore Vivaldi. Chromium ayant été mis à jour, le correctif peut ainsi être déployé en cascade chez les autres.
Le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), chargée de la cybersécurité en France, a publié cette semaine des notices d’avertissement pour Google Chrome, Microsoft Edge et Mozilla Firefox.
Signe de la haute criticité de la brèche, le secret est maintenu autour des détails de ce bug, le temps qu’une majorité d’internautes procède à la mise à jour. Cela, pour des raisons de sécurité. En parler trop tôt ferait courir le risque de permettre à des tiers malveillants de l’exploiter à leur tour — sachant que cette brèche est d’ores et déjà exploitée en ligne.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs ait reçu un correctif. Nous maintiendrons des restrictions si le bogue existe dans une bibliothèque tierce dont d’autres projets dépendent de la même manière, mais qui n’a pas encore été corrigée », commente d’ailleurs Google dans ses notes de mise à jour.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
